Le contrôle activeX d'outlook

C’est ma petite découverte du jour, un contrôle activeX d’outlook qui permet d’afficher au choix :

  • un répertoire de mail
  • vos contacts
  • votre calendrier

Le rendu est exactement le même que celui d’outlook.
Outlook View Control

Cependant le contrôle n’a pas une foulle de possibilités et peut même entrainer des failles de sécurités.
Si Outlook est actuellement installé sur votre système, vous pouvez visualiser quelques démos ici

Voici le code qui m’a permis d’afficher mes contacts comme dans la capture.

faille dans microsoft office / visual studio .net

Microsoft Office / Visual Studio .NET – Exécution de Code Arbitraire dans msdds.dll

Date de publication: 18/08/2005

Auteur: Anonyme
Vulnérabilité: Débordement de mémoire
Impact: Accès au système
D’où: A distance
Risque: Critique
Solution: Aucun correctif
SE: Windows
Produits:

  • Microsoft Internet Explorer
  • Microsoft Office
  • Microsoft Visual Studio .NET

Versions affectées:

  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6.x
  • Microsoft Office 2003 Professional Edition
  • Microsoft Office 2003 Small Business Edition
  • Microsoft Office 2003 Standard Edition
  • Microsoft Office 2003 Student and Teacher Edition
  • Microsoft Office XP
  • Microsoft Visual Studio .NET 2003

Détails:

Une vulnérabilité a été découverte dans Microsoft Office et Visual Studio .NET, celle-ci pourrait être exploitée par des personnes malicieuses afin de compromettre un système vulnérable.

La vulnérabilité est due à une erreur lorsque l’objet COM “msdds.dll” (Microsoft Design Tools – Diagram Surface) est instancié dans Internet Explorer.

Une exploitation réussie de la vulnérabilité permet l’exécution de code arbitraire, mais requiert que la victime soit incitée à ouvrir un site web malicieux.

L’objet COM est installé dans les produits suivants:

  • Microsoft Visual Studio .NET 2003
  • Microsoft Office Professional 2003
  • Microsoft Office XP

D’autres produits pourraient aussi inclure l’objet COM affecté.
Note: Un exploit a été publié. Cependant la vulnérabilité n’a pas pu être confirmée dans toutes les versions de l’objet COM.

Solution:
Aucun correctif.

Restreindre l’utilisation des contrôles ActiveX aux sites de confiance seulement.

Source:
http://www.zone-h.fr/advisories/read/id=446